El delito digital ya opera a velocidad récord y la identidad se consolidó como la principal puerta de entrada a las organizaciones. Así lo revela el más reciente informe global de respuesta a incidentes de Unit 42, el equipo de investigación de Palo Alto Networks, que analizó más de 750 casos atendidos entre 2024 y 2025.
El reporte confirma un cambio de ritmo preocupante: en 2025, el 25 por ciento más rápido de los ataques logró robar datos en apenas 72 minutos, mientras que el 87 por ciento de las intrusiones cruzó múltiples superficies —navegadores, aplicaciones en la nube e identidades— de forma simultánea. Más aún, casi el 90 por ciento de las investigaciones incluyó fallas de identidad como elemento determinante, y el 99 por ciento de las identidades en la nube tenía privilegios excesivos.
La identidad: el nuevo perímetro
Hoy los atacantes ya no necesitan vulnerar complejos sistemas desde cero. Les basta con explotar cuentas, permisos y credenciales válidas para moverse lateralmente dentro de una organización. El navegador, convertido en el centro del trabajo diario, facilita este desplazamiento cuando existen credenciales reutilizadas o sesiones activas.
Los puntos de entrada muestran dos rutas igual de efectivas: phishing y explotación de vulnerabilidades (22 por ciento cada uno). Sin embargo, las técnicas basadas en identidad concentraron el 65 por ciento del acceso inicial, incluyendo phishing capaz de burlar la autenticación multifactor (MFA), uso de credenciales filtradas (13 por ciento), fuerza bruta (8 por ciento) y errores en la gestión de accesos.
Extorsión sin cifrado: una nueva estrategia
Aunque el ransomware sigue presente, el cifrado bajó a 78 por ciento de los casos —cuando antes superaba 90 por ciento—. Cada vez más grupos criminales optan por robar datos y presionar directamente a las víctimas, incluso si los sistemas continúan operando.
En términos económicos, la mediana de la demanda inicial ascendió a $1.5 millones de dólares, mientras que la mediana de pago fue de $500,000 de dólares, con mayores reducciones durante las negociaciones.
SaaS, nube y terceros: el riesgo invisible
El análisis de más de 680,000 identidades en la nube reveló que el 99 por ciento tenía más permisos de los necesarios. Este exceso facilita la escalación de privilegios y el uso de accesos legítimos —incluidos tokens de sesión u otorgamientos OAuth— para permanecer ocultos.
En 2025, la información alojada en aplicaciones SaaS fue relevante en 23 por ciento de los casos, y 39 por ciento de las técnicas de comando y control utilizó herramientas de acceso remoto que aparentan tareas administrativas normales. Integraciones OAuth, API keys, herramientas RMM/MDM y paquetes de terceros pueden heredar permisos y convertirse en puertas “de confianza” tras un único punto de compromiso.
En América Latina, donde predominan entornos híbridos y cadenas de suministro complejas, esta combinación incrementa el riesgo. “El objetivo es que un acceso inicial no se convierta en una crisis operacional”, señaló Patrick Rinski, líder de Unit 42 para la región.
El reporte también identifica ajustes en actores Estado-nación, que buscan infiltrarse mediante identidades falsas, procesos de contratación o accesos a infraestructura virtualizada, elevando el nivel de sofisticación y permanencia.
